Welche Fragen helfen bei der Vendor-Registrierung, um festzustellen, ob der Vendor als Auftragsverarbeiter agiert?

Ja, es gibt Möglichkeiten, Google-Dienste mit minimaler Preisgabe persönlicher Daten zu nutzen: 1. **Ohne Google-Konto suchen:** Die Google-Suche kann ohne Anmeldung genutzt werden. Dabei werden jedoch trotzdem Daten wie IP-Adresse, Suchanfragen und Browserinformationen gespeichert. 2. **Inkognito-/Privatmodus:** Nutze den Inkognito- oder Privatmodus deines Browsers. Das verhindert, dass lokale Suchverläufe gespeichert werden, schützt aber nicht vor Googles Datensammlung. 3. **Anonyme Konten:** Du kannst ein Google-Konto mit minimalen, nicht-personenbezogenen Angaben erstellen. Beachte aber, dass Google oft eine Telefonnummer zur Verifizierung verlangt. 4. **Datenschutzeinstellungen anpassen:** In den Google-Kontoeinstellungen kannst du viele Datenfreigaben einschränken oder deaktivieren (z.B. Web- & App-Aktivitäten, Standortverlauf). 5. **Alternativen nutzen:** Für mehr Privatsphäre kannst du Suchmaschinen wie [DuckDuckGo](https://duckduckgo.com/) oder [Startpage](https://www.startpage.com/) verwenden, die Google-Suchergebnisse anonymisiert bereitstellen. 6. **Browser-Erweiterungen:** Tools wie [uBlock Origin](https://github.com/gorhill/uBlock), [Privacy Badger](https://privacybadger.org/) oder [Ghostery](https://www.ghostery.com/) helfen, Tracking zu reduzieren. Fazit: Ganz ohne Datenerhebung ist die Nutzung von Google nicht möglich, aber du kannst die Preisgabe persönlicher Daten deutlich reduzieren.

Im Zusammenhang mit Datenschutzbeauftragten bezieht sich das Kriterium „20 Personen“ auf eine Schwelle im deutschen Datenschutzrecht, die bis zur Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 galt. Nach § 38 Bundesdatenschutzgesetz (BDSG) in der alten Fassung mussten Unternehmen einen Datenschutzbeauftragten bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt waren. Mit der DSGVO und dem neuen BDSG (ab 25. Mai 2018) wurde diese Schwelle angepasst: **Aktuelle Regelung (§ 38 BDSG-neu):** Ein Datenschutzbeauftragter muss bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. **Wichtige Punkte dazu:** - Die 20-Personen-Grenze bezieht sich auf alle Personen, die regelmäßig mit personenbezogenen Daten arbeiten – dazu zählen auch Teilzeitkräfte, Auszubildende, Praktikanten und externe Mitarbeiter. - „Ständig“ bedeutet, dass die Verarbeitung ein wesentlicher Bestandteil der Tätigkeit ist, nicht nur gelegentlich. - Auch unabhängig von der Personenzahl ist ein Datenschutzbeauftragter zu bestellen, wenn besondere Arten von Daten verarbeitet werden (z. B. Gesundheitsdaten) oder wenn die Kerntätigkeit in der umfangreichen Überwachung von Personen besteht. **Weitere Informationen:** - [§ 38 BDSG-neu](https://www.gesetze-im-internet.de/bdsg_2018/__38.html) - [Datenschutzbeauftragter – Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)](https://www.bfdi.bund.de/DE/Fachthemen/Fachthemen-node.html) Zusammengefasst: Die „20 Personen“-Regel ist ein Schwellenwert, ab dem Unternehmen in Deutschland verpflichtet sind, einen Datenschutzbeauftragten zu benennen, sofern diese Personen regelmäßig automatisiert personenbezogene Daten verarbeiten.

Deine Fragen auf frage.de können grundsätzlich von den Betreibern der Plattform, also der Gull AG in Zusammenarbeit mit OpenAI, eingesehen werden, da sie für die Bearbeitung und Verbesserung des Dienstes verarbeitet werden. Außerdem sind die Fragen und Antworten öffentlich sichtbar, sodass auch andere Nutzer von frage.de sie lesen können. Stelle daher bitte keine persönlichen oder sensiblen Daten in deinen Fragen. Weitere Informationen findest du in den Datenschutzbestimmungen von frage.de.

Die Weitergabe des Namens eines Ansprechpartners aus der Finanzabteilung an einen externen Partner ist in der Regel datenschutzrechtlich zulässig, sofern dies im Rahmen der beruflichen Kommunikation und zur Erfüllung der jeweiligen Aufgaben geschieht. Nach der Datenschutz-Grundverordnung (DSGVO) handelt es sich beim Namen um personenbezogene Daten. Die Verarbeitung (dazu zählt auch die Weitergabe) ist jedoch erlaubt, wenn sie zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1 lit. b DSGVO) oder ein berechtigtes Interesse des Unternehmens besteht (Art. 6 Abs. 1 lit. f DSGVO). Im geschäftlichen Kontext ist es üblich und notwendig, dass externe Partner wissen, mit wem sie kommunizieren sollen. Voraussetzung ist, dass die Weitergabe auf das notwendige Maß beschränkt bleibt und keine sensiblen Daten (z.B. private Kontaktdaten) ohne Einwilligung weitergegeben werden. Es empfiehlt sich, die betroffene Person vorab zu informieren, dass ihr Name an den externen Partner weitergegeben wird. So wird Transparenz geschaffen und mögliche Missverständnisse werden vermieden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/).

Ob ein Unternehmen Organigramme (Org-Charts) an externe Partner weitergeben darf, hängt von mehreren Faktoren ab: 1. **Vertraulichkeit und interne Richtlinien:** Viele Unternehmen betrachten Organigramme als interne Informationen, da sie Rückschlüsse auf die Unternehmensstruktur, Verantwortlichkeiten und Schlüsselpersonen zulassen. Es sollte geprüft werden, ob interne Richtlinien oder Betriebsvereinbarungen die Weitergabe einschränken. 2. **Datenschutz:** Enthält das Organigramm personenbezogene Daten (z. B. Namen, Kontaktdaten, Positionen), greift die Datenschutz-Grundverordnung (DSGVO). Die Weitergabe solcher Daten an Dritte ist nur zulässig, wenn dafür eine Rechtsgrundlage besteht, z. B. eine Einwilligung der betroffenen Personen oder ein berechtigtes Interesse, das nicht die Rechte der Betroffenen überwiegt. 3. **Vertragliche Vereinbarungen:** Mit externen Partnern können Vertraulichkeitsvereinbarungen (NDAs) bestehen, die den Umgang mit erhaltenen Informationen regeln. Auch umgekehrt kann das Unternehmen verpflichtet sein, bestimmte Informationen nicht weiterzugeben. **Fazit:** Die Weitergabe von Org-Charts an externe Partner ist grundsätzlich möglich, sofern keine internen, vertraglichen oder gesetzlichen Regelungen (insbesondere Datenschutz) dagegen sprechen. Es empfiehlt sich, vor der Weitergabe zu prüfen: - Welche Informationen enthält das Organigramm? - Gibt es interne oder vertragliche Einschränkungen? - Sind personenbezogene Daten enthalten und ist deren Weitergabe zulässig? Im Zweifel sollte eine Freigabe durch die Rechtsabteilung oder den Datenschutzbeauftragten eingeholt werden.

Bei der Nutzung von Mentimeter können verschiedene datenschutzrechtliche und sicherheitsrelevante Probleme auftreten: **1. Speicherung und Verarbeitung personenbezogener Daten:** Mentimeter verarbeitet Daten wie Namen, E-Mail-Adressen und ggf. weitere personenbezogene Informationen der Teilnehmenden. Je nach Nutzung können auch sensible Daten (z. B. Meinungen, Abstimmungsergebnisse) betroffen sein. Es muss sichergestellt werden, dass die Verarbeitung dieser Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) erfolgt. **2. Serverstandort und Datenübermittlung:** Mentimeter ist ein schwedisches Unternehmen, speichert Daten aber teilweise auf Servern außerhalb der EU (z. B. in den USA). Das kann problematisch sein, da bei einer Übermittlung in Drittländer ein angemessenes Datenschutzniveau sichergestellt werden muss. Ohne entsprechende Schutzmaßnahmen (z. B. Standardvertragsklauseln) besteht ein Risiko für die Rechte der Betroffenen. **3. Einwilligung und Information:** Vor der Nutzung müssen Teilnehmende über die Datenverarbeitung informiert werden und ggf. ihre Einwilligung geben. Fehlt diese Information oder Einwilligung, liegt ein Datenschutzverstoß vor. **4. Zugriff durch Unbefugte:** Wenn Präsentationen oder Umfragen nicht ausreichend geschützt sind (z. B. durch öffentliche Links ohne Zugangsbeschränkung), können Unbefugte auf die Daten zugreifen oder diese manipulieren. **5. Hackerangriffe und Datensicherheit:** Wie bei allen cloudbasierten Diensten besteht das Risiko von Hackerangriffen, z. B. durch Phishing, Brute-Force-Attacken oder Ausnutzung von Sicherheitslücken. Im schlimmsten Fall könnten personenbezogene Daten abgegriffen, veröffentlicht oder missbraucht werden. **6. Fehlende oder unzureichende Verschlüsselung:** Wenn Daten nicht ausreichend verschlüsselt übertragen oder gespeichert werden, können sie leichter abgefangen oder kompromittiert werden. **7. Fehlende Auftragsverarbeitungsvereinbarung:** Nach DSGVO ist bei der Nutzung von Diensten wie Mentimeter eine Auftragsverarbeitungsvereinbarung erforderlich. Fehlt diese, ist die Nutzung aus datenschutzrechtlicher Sicht problematisch. **Fazit:** Vor der Nutzung von Mentimeter sollten die Datenschutzbestimmungen sorgfältig geprüft, technische und organisatorische Maßnahmen zum Schutz der Daten ergriffen und die Teilnehmenden transparent informiert werden. Außerdem sollte geprüft werden, ob eine Auftragsverarbeitungsvereinbarung abgeschlossen werden kann und ob die Datenverarbeitung DSGVO-konform ist. Weitere Informationen findest du direkt bei [Mentimeter](https://www.mentimeter.com/) und in deren [Datenschutzerklärung](https://www.mentimeter.com/privacy).

Die Abfrage von Branche und Jobtitel als Pflichtfelder in Lead-Generierungsformularen für Whitepaper ist grundsätzlich zulässig, sofern die Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Nach der DSGVO gilt das Prinzip der Datenminimierung: Es dürfen nur solche Daten erhoben werden, die für den angegebenen Zweck erforderlich sind. **Erforderlichkeit:** Wenn Branche und Jobtitel tatsächlich notwendig sind, um den Newsletter zielgerichtet ausspielen zu können (z.B. um Inhalte zu personalisieren oder irrelevante Informationen zu vermeiden), kann die Abfrage dieser Daten als gerechtfertigt angesehen werden. Dies sollte im Rahmen einer Interessenabwägung dokumentiert werden. **Transparenz und Einwilligung:** Du musst die Nutzer klar und transparent darüber informieren, warum diese Daten erhoben werden und wie sie verwendet werden. Dies geschieht in der Datenschutzerklärung und idealerweise auch direkt am Formular (z.B. durch einen kurzen Hinweistext). **Pflichtfeld vs. Freiwilligkeit:** Die Pflicht zur Angabe dieser Daten sollte gut begründet sein. Wenn der Download des Whitepapers oder die Anmeldung zum Newsletter ohne diese Angaben nicht möglich ist, muss dies klar kommuniziert werden. **Praxis-Tipp:** Viele Unternehmen setzen auf möglichst wenige Pflichtfelder, um die Hemmschwelle für Nutzer gering zu halten und die Konversionsrate zu erhöhen. Prüfe, ob die Abfrage als freiwilliges Feld ausreicht oder ob eine Pflichtangabe wirklich notwendig ist. **Fazit:** Ja, Branche und Jobtitel dürfen als Pflichtfelder abgefragt werden, wenn sie für den Zweck (zielgerichteter Newsletter) erforderlich sind und die Nutzer transparent informiert werden. Die Erforderlichkeit sollte dokumentiert und begründet werden. Weitere Informationen findest du z.B. bei der [Datenschutzkonferenz](https://www.datenschutzkonferenz-online.de/) oder beim [BfDI](https://www.bfdi.bund.de/). Hinweis: Dies stellt keine Rechtsberatung dar. Im Zweifel empfiehlt sich die Rücksprache mit einem Datenschutzbeauftragten.

Ob Affiliated Agency, Data Partner, Media Platform, Media Vendor oder Tech Partner als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gelten, hängt von ihrer konkreten Rolle und den vertraglichen sowie tatsächlichen Gegebenheiten ab. Die Begriffe selbst sind keine datenschutzrechtlichen Kategorien, sondern beschreiben Geschäftsbeziehungen oder Funktionen im digitalen Marketing und der Werbebranche. **Definition Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO):** Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. **Erläuterung zu den genannten Begriffen:** - **Affiliated Agency:** Eine Agentur, die im Auftrag eines Kunden handelt, kann Auftragsverarbeiter sein, wenn sie personenbezogene Daten ausschließlich nach Weisung des Kunden verarbeitet. Agiert sie jedoch eigenverantwortlich (z.B. als Co-Verantwortlicher), ist sie kein reiner Auftragsverarbeiter. - **Data Partner:** Ein Datenpartner kann Auftragsverarbeiter sein, wenn er Daten nur im Auftrag und nach Weisung verarbeitet. Nutzt er die Daten aber auch für eigene Zwecke, ist er (Mit-)Verantwortlicher. - **Media Platform / Media Vendor:** Plattformen oder Anbieter, die Werbeflächen bereitstellen, sind meist eigenständige Verantwortliche, da sie über die Zwecke und Mittel der Datenverarbeitung selbst entscheiden. In Einzelfällen können sie aber auch als Auftragsverarbeiter agieren, etwa wenn sie ausschließlich im Auftrag handeln. - **Tech Partner:** Technologiedienstleister (z.B. für Tracking, Analyse) sind häufig Auftragsverarbeiter, wenn sie Daten nur im Auftrag und nach Weisung des Kunden verarbeiten. Entwickeln sie aber eigene Produkte oder nutzen Daten für eigene Zwecke, sind sie (Mit-)Verantwortliche. **Fazit:** Ob eine der genannten Parteien als Auftragsverarbeiter gilt, ist keine Frage des Namens, sondern der tatsächlichen Datenverarbeitung und der vertraglichen Ausgestaltung. Entscheidend ist, ob die Partei ausschließlich im Auftrag und nach Weisung eines Verantwortlichen handelt (dann Auftragsverarbeiter) oder eigene Zwecke verfolgt (dann Verantwortlicher oder gemeinsam Verantwortlicher). **Weitere Informationen:** - [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/) - [Auftragsverarbeitung vs. gemeinsame Verantwortlichkeit (BfDI)](https://www.bfdi.bund.de/DE/Infothek/Schlagworte/A/Auftragsverarbeitung/auftragsverarbeitung.html) Eine genaue Einordnung ist immer im Einzelfall vorzunehmen.

Um echte Unter-Auftragsverarbeiter (Subunternehmer im Sinne der DSGVO) zu erkennen, sind folgende Informationen entscheidend: 1. **Art der Dienstleistung:** Der Unter-Auftragsverarbeiter muss tatsächlich im Auftrag des Hauptdienstleisters personenbezogene Daten verarbeiten, die im Zusammenhang mit dem Hauptauftrag stehen. 2. **Vertragliche Einbindung:** Es muss ein Vertrag oder eine Vereinbarung bestehen, die die Datenverarbeitung im Auftrag regelt (Art. 28 DSGVO). 3. **Zweck der Datenverarbeitung:** Die Verarbeitung muss ausschließlich im Rahmen und zu den Zwecken erfolgen, die der Hauptauftraggeber vorgegeben hat. 4. **Zugriff auf personenbezogene Daten:** Der Unter-Auftragsverarbeiter muss tatsächlich Zugriff auf personenbezogene Daten haben, die im Rahmen des Hauptauftrags verarbeitet werden. 5. **Keine Eigenverantwortung:** Der Unter-Auftragsverarbeiter darf die Daten nicht für eigene Zwecke nutzen, sondern nur im Auftrag und nach Weisung des Hauptdienstleisters. **Typische Beispiele für echte Unter-Auftragsverarbeiter:** - IT-Hosting-Anbieter, die Server für den Dienstleister betreiben und dabei Zugriff auf personenbezogene Daten haben. - Callcenter, die im Auftrag des Dienstleisters Kundendaten verarbeiten. - Externe Buchhaltungsfirmen, die im Auftrag des Dienstleisters Lohnabrechnungen erstellen. **Nicht als Unter-Auftragsverarbeiter gelten z.B.:** - Reine Telekommunikationsanbieter (z.B. Internetprovider ohne Datenzugriff) - Post- und Kurierdienste (reiner Transport, kein Datenzugriff) - Wartungsfirmen ohne Zugriff auf produktive Daten **Fazit:** Entscheidend ist, ob der Dienstleister im Rahmen des Auftrags tatsächlich personenbezogene Daten im Auftrag verarbeitet und dabei den Weisungen des Hauptdienstleisters unterliegt. Eine bloße Nennung in einer Liste reicht nicht aus – es muss ein tatsächlicher Datenverarbeitungsbezug bestehen. Weitere Infos: [Art. 28 DSGVO – Auftragsverarbeiter](https://dsgvo-gesetz.de/art-28-dsgvo/)

Nextcloud bietet zahlreiche Funktionen, um den sicheren Austausch personenbezogener Daten zu ermöglichen. Die Sicherheit hängt jedoch maßgeblich von der richtigen Konfiguration und dem Betrieb ab. Zu den wichtigsten Sicherheitsmerkmalen von Nextcloud gehören: - **Ende-zu-Ende-Verschlüsselung** (optional für bestimmte Ordner) - **Transportverschlüsselung** (TLS/SSL) - **Granulare Rechteverwaltung** - **Zwei-Faktor-Authentifizierung** - **Audit-Logs und Monitoring** - **Regelmäßige Sicherheitsupdates** Ob Nextcloud für den Austausch personenbezogener Daten geeignet ist, hängt davon ab, wie sie betrieben wird: - **Selbst gehostet:** Die Verantwortung für Sicherheit, Updates und Datenschutz liegt beim Betreiber. - **Gehostete Lösungen:** Hier ist auf die Seriosität und DSGVO-Konformität des Anbieters zu achten. Für die Verarbeitung personenbezogener Daten im Sinne der DSGVO ist es wichtig, dass: 1. Die Installation und Konfiguration sicher erfolgt. 2. Zugriffskontrollen und Verschlüsselung aktiviert sind. 3. Ein Auftragsverarbeitungsvertrag (AVV) mit dem Hoster besteht (bei externer Nutzung). 4. Regelmäßige Updates und Backups durchgeführt werden. **Fazit:** Nextcloud kann so sicher betrieben werden, dass der Austausch personenbezogener Daten möglich ist. Die tatsächliche Sicherheit hängt jedoch von der technischen Umsetzung und der Einhaltung datenschutzrechtlicher Vorgaben ab. Eine datenschutzkonforme Nutzung ist also möglich, aber nicht automatisch garantiert – sie erfordert sorgfältige Planung und Umsetzung. Weitere Informationen findest du direkt bei [Nextcloud](https://nextcloud.com/de/security/).